Product Documentation

Seguridad y configuración de red del Servicio de autenticación federada

Jul 07, 2016

El Servicio de autenticación federada (FAS) de Citrix está estrechamente integrado con Microsoft Active Directory y con la entidad de certificación (CA) de Microsoft. Es fundamental asegurarse de que el sistema está administrado y protegido correctamente mediante el desarrollo de una directiva de seguridad del mismo modo que lo haría para un controlador de dominio o para otra parte importante de la infraestructura.  

Este documento presenta un resume de las cuestiones de seguridad que se deben tener en cuenta al implementar los servicios FAS. También proporciona una visión general de las características disponibles que pueden ayudarle a proteger su infraestructura.

Arquitectura de red

El diagrama siguiente muestra los componentes principales y los límites de seguridad usados en una implementación de FAS.

El servidor FAS debe tratarse como una parte de la infraestructura fundamental para la seguridad, junto con la entidad de certificación (CA) y el controlador de dominio. En un entorno federado, Citrix NetScaler y Citrix Storefront son componentes de confianza para realizar la autenticación de usuarios; otros componentes de XenApp y XenDesktop no se ven afectados por la introducción de FAS.

localized image

Seguridad de red y firewalls

La comunicación entre NetScaler, StoreFront y los componentes de Delivery Controller debe estar protegida con TLS a través del puerto 443. El servidor StoreFront realiza únicamente conexiones salientes y NetScaler Gateway debe aceptar solo conexiones a través de Internet que usen HTTPS en el puerto 443.

El servidor StoreFront contacta con el servidor FAS a través del puerto 80 mediante autenticación Kerberos mutua. La autenticación utiliza la identidad Kerberos HOST/fqdn del servidor FAS y la identidad Kerberos de la cuenta de máquina del servidor StoreFront. Esto genera un identificador de credenciales de un solo uso, necesario para que el Citrix Virtual Delivery Agent (VDA) inicie la sesión del usuario.

Cuando una sesión HDX se conecta al VDA, el VDA también se comunica con el servidor FAS en el puerto 80. La autenticación utiliza la identidad Kerberos HOST/fqdn del servidor FAS y la identidad Kerberos de máquina del VDA. Además, el VDA debe proporcionar el identificador de credenciales para acceder al certificado y la clave privada.

La entidad de certificación (CA) de Microsoft acepta la comunicación con DCOM autenticado con Kerberos, que se puede configurar para usar un puerto TCP fijo. La CA también requiere que el servidor FAS proporcione un paquete CMC firmado por un certificado de agente de inscripción de confianza.

Servidor

Puertos de firewall

Servicio de autenticación federada

[entrada] Kerberos sobre HTTP desde StoreFront y VDA

[salida] DCOM hacia la entidad de certificación (CA) de Microsoft

Netscaler

[entrada] HTTPS desde máquinas cliente

[entrada/salida] HTTPS desde y hacia los servidores StoreFront

[salida] HDX hacia VDA

StoreFront

[entrada] HTTPS desde NetScaler

[salida] HTTPS hacia Delivery Controller

[salida] Kerberos HTTP hacia FAS

Delivery Controller

[entrada] HTTPS desde servidores StoreFront

[entrada/salida] Kerberos sobre HTTP desde VDA

VDA

[entrada/salida] Kerberos sobre HTTP desde Delivery Controller

[entrada] HDX desde NetScaler Gateway

[salida] Kerberos HTTP hacia FAS

Microsoft CA

[entrada] DCOM y firmado desde FAS

 

Responsabilidades de administración

La administración del entorno se puede dividir en los siguientes grupos:

Nombre

Responsabilidad

Administrador de la organización

Instalar y proteger las plantillas de certificado en el bosque

Administrador del dominio

Configurar parámetros de directivas de grupo

Administrador de CA

Configurar la entidad de certificación

Administrador de FAS

Instalar y configurar el servidor FAS

Administrador de StoreFront y NetScaler

Configurar la autenticación de usuarios

Administrador de XenDesktop

Configurar los VDA y los Controllers

Cada administrador controla diferentes aspectos del modelo de seguridad global, lo que permite aplicar un enfoque de defensa en profundidad para proteger el sistema.

Configuración de directivas de grupo

Las máquinas FAS de confianza se identifican en una tabla de búsqueda de “número de índice -> FQDN" configurada mediante Directiva de grupo. Al contactar con un servidor FAS, los clientes verifican la identidad Kerberos HOST\ del servidor FAS. Todos los servidores que tienen acceso al servidor FAS deben tener configuraciones idénticas de FQDN con el mismo índice; de lo contrario, StoreFront y los VDA pueden contactar con servidores FAS distintos.  

Para evitar errores de configuración, Citrix recomienda aplicar una única directiva a todas las máquinas del entorno. Ponga cuidado a la hora de modificar la lista de servidores de FAS, especialmente al quitar o reordenar las entradas.

El control de este objeto de directiva de grupo debe estar limitado a los administradores de FAS (y/o los administradores de dominio) encargados de instalar y retirar servidores FAS. Ponga cuidado para no reutilizar un nombre de dominio completo (FQDN) al poco tiempo de retirar un servidor FAS.

Plantillas de certificado

El administrador de la organización instala plantillas de certificado "para todo el bosque". Hay cuatro cuestiones de seguridad para tener en cuenta.

Instalación de las plantillas de autoridad de registro

El instalador de FAS ofrece dos tipos de plantillas de certificado: las plantillas de autoridad de registro (RA) y la plantilla de inicio de sesión con tarjeta inteligente.

En tiempo de ejecución, solo se necesita la plantilla de inicio de sesión con tarjeta inteligente, por lo que las demás plantillas de RA pueden no estar instaladas (lo que significa que los certificados de RA deben emitirse manualmente con una CA independiente fuera de línea), o pueden inhabilitarse después de haber autorizado a un servidor FAS.

Identificador de objeto (OID) de directiva de aplicación

Los certificados de RA se identifican incluyendo un identificador de objeto (OID) de "Agente de solicitud de certificados" en las extensiones de Uso mejorado de claves. Si existe la posibilidad de que este OID esté siendo utilizado por otro sistema diferente, se puede cambiar por un OID personalizado.

localized image

Lista de control de acceso (ACL)

Cada plantilla tiene una lista de control de acceso que controla qué usuarios y equipos pueden emitir certificados.

Citrix recomienda que esta lista ACL se vuelva a configurar para permitir la solicitud e certificados explícitamente solo a las cuentas de máquina de los servidores FAS. Esto se puede restringir aún más usando directivas de firewall de red.

localized image

Limitaciones de nombre de sujeto, extensiones y nombre de ruta

El nombre de sujeto y las extensiones estándar se pueden configurar mediante características de RFC 5280 estándar para controlar con qué fines se pueden usar los certificados emitidos. Esto proporciona un nivel básico de control sobre los fines para los que se pueden usar los certificados emitidos a través de la infraestructura de clave pública (PKI).

Administración de la entidad de certificación

El administrador de la entidad de certificación (CA) es responsable de la configuración del servidor CA y de la clave privada de emisión de certificados que se usa.

Publicación de plantillas

Para que una entidad de certificación emita certificados basados en una plantilla proporcionada por el administrador de la empresa, el administrador de CA debe elegir publicar esa plantilla.

Una sencilla medida de seguridad consiste en publicar solo las plantillas de RA cuando se están instalando los servidores FAS, o insistir en un proceso de emisión que tenga lugar completamente fuera de línea. En ambos casos, el administrador de la CA debe mantener el control total de la autorización de las solicitudes de certificados de RA, y tener una directiva para autorizar los servidores FAS.

Parámetros de firewall

Por lo general, el administrador de la entidad de certificación (CA) también tiene el control de los parámetros de firewall de red de la CA, lo que permite controlar las conexiones entrantes. El administrador de la CA puede configurar reglas de firewall y DCOM TCP para que solo los servidores FAS puedan solicitar certificados.

Inscripción restringida

De forma predeterminada, cualquier titular de un certificado RA puede emitir certificados a cualquier usuario, usando cualquier plantilla de certificado que permita el acceso. Esto debe restringirse a un grupo de usuarios sin privilegios usando la propiedad “Restringir agentes de inscripción” de la CA.

localized image

Módulos de directiva y auditoría

Para implementaciones avanzadas, se pueden usar módulos de seguridad personalizados con los que se puede hacer un seguimiento y vetar la emisión de certificados.

Administración de FAS

FAS tiene varias características de seguridad.

Restringir StoreFront, usuarios y VDA mediante una lista de control de acceso

En el centro del modelo de seguridad de FAS está el control del acceso a la funcionalidad para las cuentas de Kerberos:

Vector de acceso

Descripción

StoreFront [IdP]

Estas cuentas de Kerberos son de confianza para declarar que un usuario se ha autenticado correctamente. Si una de estas cuentas está en situación de riesgo, se pueden crear y usar certificados para los usuarios permitidos por la configuración de FAS.

VDA [entidad de confianza]

Estas son las máquinas a las que se permite acceder a los certificados y las claves privadas. Se necesita también un identificador de credencial obtenido por el IdP, de modo que una cuenta de VDA de este grupo que esté en situación de riesgo tendrá un ámbito muy limitado para atacar el sistema.

Usuarios

Esto controla qué usuarios pueden ser objeto de aserciones de proveedor de identidades (IdP). Tenga en cuenta que esto se solapa con las opciones de configuración de Agente de inscripción restringido (Restricted Enrollment Agent) en la CA.

En general, se recomienda incluir solo cuentas sin privilegios en esta lista. Esto evita que una cuenta de StoreFront que esté en situación de riesgo pueda aumentar sus privilegios a un nivel administrativo superior. En concreto, las cuentas de administrador de dominio no deben permitirse en esta lista de control de acceso.

Configurar reglas

Las reglas son útiles cuando hay varias implementaciones de XenApp o XenDesktop independientes que usan la misma infraestructura de servidor FAS. Cada regla tiene un conjunto de opciones de configuración aparte; en concreto, las listas de control de acceso se pueden configurar de forma independiente.

Configurar la entidad de certificación (CA) y las plantillas

Se pueden configurar plantillas de certificados y entidades de certificación diferentes para distintos derechos de acceso. En configuraciones avanzadas se puede elegir usar certificados más o menos potentes, dependiendo del entorno. Por ejemplo, los usuarios identificados como "externos” pueden tener un certificado con menos privilegios que los usuarios "internos".

Certificados de sesión y de autenticación

El administrador de FAS puede controlar si el certificado usado para autenticar está disponible para su uso también dentro de la sesión del usuario. Por ejemplo, puede tener solo certificados de "firma" disponibles durante la sesión, y usar el certificado más potente de "inicio de sesión" solo para iniciar sesión.

Protección de la clave privada y longitud de la clave

El administrador de FAS puede configurar FAS para almacenar las claves privadas en un módulo de seguridad de hardware (HSM) o en un módulo de plataforma de confianza (TPM). Citrix recomienda que, por lo menos, la clave privada del certificado de RA esté protegida almacenándola en un módulo TPM; esta opción se suministra como parte del proceso de solicitud de certificado "fuera de línea".

Del mismo modo, las claves privadas de certificado de usuario se pueden guardar en un módulo TPM o HSM. Todas las claves deben generarse como “no-exportables” y deben tener una longitud mínima de 2048 bits.

Registros de eventos

El servidor FAS proporciona registros de eventos detallados sobre configuración y tiempo de ejecución, que se pueden utilizar para la auditoría y la detección de intrusiones.

Acceso administrativo y herramientas de administración

El servicio FAS incluye herramientas y características de administración remota (autenticación Kerberos mutua). Los miembros del grupo de "Administradores locales” tienen control total sobre la configuración de FAS. Esta lista se debe mantener con cuidado.

Administradores XenApp, XenDesktop y VDA

En general, el uso de FAS no cambiar el modelo de seguridad de Delivery Controller y los administradores de VDA, ya que el "identificador de credencial" de FAS simplemente reemplaza la "contraseña de Active Directory". Los grupos de administración de Controller y VDA deben contener solo usuarios de confianza. Deben mantenerse registros de eventos y auditoría.

Seguridad general de los servidores Windows

Todos los servidores deben contar con las revisiones disponibles y tener instalado un software de firewall y antivirus estándar. Los servidores de la infraestructura de importancia crítica para la seguridad deben ubicarse en un lugar protegido físicamente, y hay que poner especial cuidado en las opciones de cifrado de los discos y el mantenimiento de las máquinas virtuales.

Los registros de eventos y auditoría deben almacenarse de forma segura en una máquina remota.

El acceso RDP debe limitarse solo a administradores autorizados. Cuando sea posible, las cuentas de usuario deben requerir el inicio de sesión con tarjeta inteligente, especialmente para las cuentas de administradores de dominio y de CA.

Información relacionada